abl-08
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
737
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
Revisionshistorie
Dokument-
Datum Beschreibung Autor(en)
Version
15.11.2006 0.7 Initialversion EE
05.12.2006 0.8 Prüfung und Ergänzung TM
14.12.2006 0.9 Ergänzungen EE
22.12.2006 1.0 Prüfung und Freigabe MS, PL
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 2 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
738 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
Beschreibung des Produktes:
1 Handelsbezeichnung des Produktes und Lieferumfang:
Signaturanwendungskomponente D-SIGN verifier Version 1.4
Auslieferung:
Als Produkt an Endanwender durch den Hersteller oder Vertriebspartner auf einer CD-ROM
und per Download.
Lieferumfang:
Nr. Art Name Version Lieferform
1 Software D-SIGN verifier 1.4 CD-ROM
2 Dokumentation Technische Dokumentation / 1.0 PDF-Datei
Benutzeranleitung D-SIGN verifier
Version 1.4
Hersteller des Produktes D-SIGN verifier:
secrypt GmbH
Bessemer Straße 82, 12103 Berlin, Deutschland
Vertreiber des Produktes D-SIGN verifier:
D-TRUST GmbH
Kommandantenstraße 15, 10969 Berlin
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 3 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
739
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
2 Funktionsbeschreibung
2.1 Allgemein
Das Produkt D-SIGN verifier Version 1.4 ist Teil einer Signaturanwendungskomponente
gemäß § 2 Abs. 11 b) SigG zur Prüfung qualifizierter elektronischer Signaturen und
Zertifikatsketten. Die Signaturanwendungskomponente baut auf der Open-Source-
Funktionsbibliothek crypto++3 Version 4.1 auf.
Der D-SIGN verifier arbeitet autorisierte Signaturverifikationsaufträge ab. Hierbei können
mehrere Prüfschritte durchgeführt werden. Diese umfassen Signatur- und
Zertifikatsprüfungen. Die Signaturanwendungskomponente protokolliert die durchgeführten
Prüfschritte sowie deren Ergebnisse und erzeugt eine Prüfdokumentation. Der komplette
Prüfprozess kann zu Laufzeiten über die Ausgabe in einem Konsolenfenster nachvollzogen
werden.
Die Übergabe der zu prüfenden Datei erfolgt über eine Verzeichnisschnittstelle
(Eingangsverzeichnis). Je nach Ergebnis des Prüfprozesses wird die Prüfdokumentation in
einem für diesen Prüfergebniszustand vorher definierten Ausgangsverzeichnis eingestellt. Bei
einem vollständig positiven Prüfergebnis kann zusätzlich der Signaturgegenstand in einem
separaten Verzeichnis gespeichert werden. Die signierten Daten können mit den jeweilig
zuständigen Programmen nach dem Signaturverifikationsprozess eingesehen werden.
Eine vollständige Prüfdokumentation besteht immer aus der Originaldatei, dem extrahierten
Signaturgegenstand, sämtlichen Zertifikaten des Zertifikatspfades, der signierten OCSP-
Antwort sowie den zugehörigen Zertifikaten des Zertifikatspfades und der Prüflogdatei im
XML-Format.
Geprüft werden können qualifiziert signierte Dateien der Formate „signedData“ gemäß RFC
2630, „signedData“ mit „multipart-signed“-Content gemäß RFC 2633 und PDF (PKCS#7-
konforme Signatur entsprechend Adobe-Reference 1.6).
Die Signaturverifikation ist in drei Prüftiefen möglich. Prüftiefe 1 ist obligatorisch, die Prüftiefen
2 und 3 sind optional. Die Prüftiefe 3 ermöglicht eine vollständige signaturgesetzkonforme
Signatur- und Zertifikatsprüfung. Die Protokollierung des Prüfungsvorganges sowie die
Erzeugung der Prüfdokumentation erfolgen bei jeder Prüftiefe obligatorisch.
Betriebsart Prüfschritte
Prüftiefe 1: x Durchführung der mathematischen Prüfung
der Signatur über die Datei (Prüfung der
Dateisignatur)
Prüftiefe 2: x Durchführung der mathematischen Prüfung
der Signatur über die Datei und
x lokale Prüfung der Zertifikatskette (lokale
Zertifikatsprüfung)
Prüftiefe 3: x Durchführung der mathematischen Prüfung
der Signatur über die Datei,
x lokale Prüfung der Zertifikatskette und
x Online-Prüfung der Zertifikatsgültigkeit
(Onlinezertifikatsprüfung unter Nutzung
des OCSP-Protokolles)
Das ab der Prüftiefe 2 bei der lokalen Prüfung der Zertifikatskette verwendete
Gültigkeitsmodell wird dem Benutzer sowohl im Konsolenfenster als auch in der Prüflogdatei
eindeutig angezeigt. Bei qualifizierten deutschen Zertifikaten erfolgt die Prüfung der
Zertifikatskette immer gemäß ISIS-MTT SigG Profile (Kettenmodell).
3
www.cryptopp.com
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 4 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
740 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
8 2008|
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
In der Prüftiefe 3 können zur Prüfung von qualifizierten elektronischen Signaturen qualifizierte
Zertifikate online auf ihre Gültigkeit geprüft werden. Der D-SIGN verifier ermöglicht hierfür,
den Zertifikatsstatus ISIS-MTT-konform online beim OCSP-Verzeichnisdienst des jeweiligen
Trustcenters abzufragen. Die Abfragen sind via TCP/IP, http (getunnelt) und Proxyserver
möglich. Aus der Antwort ist erkennbar, ob ein Zertifikat bekannt und gültig ist. Bei gesperrten
Zertifikaten ist aus der Antwort erkennbar, zu welchem Zeitpunkt die Sperrung erfolgt ist. Die
Signatur der OCSP-Antwort sowie der zugehörige Zertifikatspfad wird ihrerseits geprüft.
Die Signaturanwendungskomponente D-SIGN verifier verfügt entsprechend
§ 15 Abs. 4 SigV über Selbstprüfungsmechanismen zum Schutz vor der Manipulation der
Software. Die Programmbestandteile des D-SIGN verifier sind signiert. Diese Signaturen
werden bei jedem Programmstart durch die Komponente selbständig auf Integrität geprüft. Im
Falle einer Manipulation wird dies dem Anwender eindeutig angezeigt und das Programm
beendet.
Als Anwendungsbereich ist die Nutzung in größeren Infrastrukturen, z.B. im
privatwirtschaftlichen und behördlichen Umfeld, in einem geschützten Einsatzbereich
anzusehen.
Weitere Funktionen der Signaturanwendungskomponente D-SIGN verifier sind nicht
Gegenstand dieser Herstellererklärung.
Anwendungen, die das Produkt D-SIGN verifier nutzen, sind nicht Gegenstand der
Herstellererklärung.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 5 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
741
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
2.2 Aufbau der Signaturanwendungskomponente D-SIGN verifier
Die Signaturanwendungskomponente D-SIGN verifier ist modular aufgebaut und besteht aus
den Komponenten:
- D-SIGN verifier.exe,
- dsverifier.dll und
- messageBoxUI.dll.
Diese Komponenten sind ausführbare Programme (executables) bzw. dynamisch geladene
Bibliotheken (dynamic link libraries).
D-SIGN verifier verfügt entsprechend § 15 Abs. 4 SigV über Selbstprüfungsmechanismen
zum Schutz vor der Manipulation der Software. Darüber hinaus sind die ausführbaren
Programme und dynamisch geladenen Bibliotheken konform zum PKCS#7-Standard
elektronisch signiert. Eine Prüfung der elektronischen Signaturen ist jederzeit mit einer ISIS-
MTT-konformen Signaturprüfsoftware, die konform zum PKCS#7-Standard signierte Dateien
verifizieren kann, möglich.
2.2.1 Funktionalität der Komponente D-SIGN verifier.exe
Die Komponente D-SIGN verifier.exe stellt die folgenden Funktionen zur Verfügung:
- Integritätsprüfung des Produktes beim Programmstart,
- Überwachung der Eingangsverzeichnisse,
- Oberflächenkomponenten zur Konfiguration des D-SIGN verifier,
- Ansprache und Steuerung der Funktionskomponente dsverifier.dll und
- Anzeige der zu verifizierenden Daten und des Verifikationsvorganges (Konsolenfenster).
2.2.2 Funktionalität der Komponente dsverifier.dll
Die Komponente dsverifier.dll ist die Funktionskomponente des D-SIGN verifier. Die
Komponente dsverifier.dll verwirklicht alle funktionalen Anforderungen an den TOE (EVG).
Sie übernimmt die folgenden Aufgaben:
- Verifikation der Dateisignatur,
- Verifikation der Zertifikatsignatur,
- Durchführung der OCSP-Abfrage,
- Verwaltung der OCSP-Antwort,
- Verwaltung der vertrauenswürdigen Zertifikate,
- Einlesen bestimmter signierter Dateien aus einem graphischen Speicher,
- Verwalten von unvollständigen Dokumenten aus graphischen Bildspeichern und
- Erzeugung der Prüfdokumentation.
2.2.3 Funktionalität der Komponente messageBoxUI.dll
Die Komponente messageBoxUI.dll dient zur Visualisierung von Benachrichtigungen der
Komponente an den Nutzer.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 6 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
742 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
2.3 Abgrenzung
Die folgenden Merkmale kann das Produkt D-SIGN verifier nicht leisten:
- Sicherung der Integrität des Betriebssystems (Systemumgebung)
Der D-SIGN verifier enthält keine Funktionen zur Sicherung der Integrität des
Betriebssystems (Systemumgebung). Die Sicherung der Integrität des Betriebssystems
obliegt dem Anwender bzw. dem Systemadministrator. Sie müssen geeignete
Maßnahmen treffen, um eine Bewahrung des Betriebssystems vor Beeinträchtigungen
und Manipulationen sicherzustellen.
- Sicherheit der kryptographischen Funktionen
Das Produkt D-SIGN verifier benutzt Bibliotheken zur Erzeugung elektronischer
Signaturen über das RSA Public Key Verfahren. Der D-SIGN verifier kann die Stärke der
kryptografischen Mechanismen nicht garantieren und keine Aussagen über die Stärke der
kryptografischen Funktionen postulieren.
Bei der Verifikation elektronischer Signaturen übernimmt D-SIGN verifier die folgenden
Teilaufgaben: Prüfung der Dateisignatur, lokale Zertifikatsprüfung, Onlinezertifikatsprüfung
unter Nutzung des OCSP-Protokolles sowie Erzeugung einer Prüfdokumentation.
Der D-SIGN verifier kann die Protokollierung von Signaturprüfungen auf dem Rechner des
Anwenders nicht verhindern.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 7 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
743
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
3 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung
3.1 Erfüllte Anforderungen
Das Produkt D-SIGN verifier erfüllt unter Einhaltung der Sicherheitsempfehlungen aus Kapitel
3.2 die Anforderungen gemäß
x § 17 Abs. 2 Satz 2 SigG
Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich,
die feststellen lassen,
1. auf welche Daten sich die Signatur bezieht,
2. ob die signierten Daten unverändert sind,
3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, (... und
zugehörige qualifizierte Attribut-Zertifikate ...) aufweisen und
5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2 geführt
hat.
x § 15 Abs. 2 Nr. 2 SigV
(...) 2. bei der Prüfung einer qualifizierten elektronischen Signatur
a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und
b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im
jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht
gesperrt waren.
x § 15 Abs. 4 SigV
Sicherheitstechnische Veränderungen an technischen Komponenten nach den
Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 8 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
744 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
3.2 Einsatzbedingungen
3.2.1 Technische Einsatzumgebung
Vorgesehen ist für den Einsatz von D-SIGN verifier ein IBM-kompatibler Personalcomputer
ab Pentium 3 (Empfehlung: Pentium 4 / 2 GHz) mit mindestens 256 MB Arbeitsspeicher
(RAM) und ausreichend freiem Festplattenspeicher (abhängig vom Speicherort der zu
signierenden und signierten Daten), einem CD-ROM-Laufwerk für die Installation,
Betriebssystem Windows 2000 SP4, Windows XP Professional Edition SP2, Windows 2000
Server SP4 oder Windows 2003 Server SP1.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 9 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
|
8 2008 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur –
745
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
3.2.2 Art des Einsatzbereiches
Grundlage dieser Herstellererklärung ist der Einsatz von D-SIGN verifier in einem
geschützten Einsatzbereich. Für einen sicheren Betrieb ist es erforderlich, dass die
Empfehlungen des Benutzerhandbuches eingehalten und die Anforderungen an die
Einsatzumgebung beachtet werden.
Dies setzt u.a. voraus, dass während des Betriebes des D-SIGN verifier keine unberechtigten
Personen Zugriffsmöglichkeiten auf die Art und Weise der Signaturverifikationsprozesse
haben.
Für den sicheren Einsatz von D-SIGN verifier und zur Verhinderung von erfolgreichen
Angriffen mit den Zielen, dass:
- der D-SIGN verifier und / oder
- Signaturprüfergebnisse manipuliert werden,
sollten folgende Auflagen beachtet werden:
- Befolgung der Anweisungen der Benutzeranleitung.
- Installation der Software nur vom Originaldatenträger (einmal beschreibbare
CD-ROM) oder mit den per Download geladenen Originalprogrammdateien zur Installation
der Signaturanwendungskomponente D-SIGN verifier.
- Volle Kontrolle des Benutzers über genutzte Datenträger und Netzwerkfreigaben.
- Sicherung der korrekten Uhrzeit auf dem Rechnersystem, auf dem der D-SIGN verifier
installiert ist.
- Sicherstellung, dass sich auf dem Rechner keine so genannten „Viren“, „trojanischen
Pferde“ oder andere Software befinden, die zur Kompromittierung der Sicherheit der
technischen Einsatzumgebung geeignet sind.
- Sicherstellung, dass keine Hardwaremanipulationen vorgenommen wurden, die
Manipulationen ermöglichen.
- Ergreifen einer geeigneten Kombination personeller, materieller und organisatorischer
Maßnahmen, um Manipulationen an der Einsatzumgebung entgegenzuwirken.
- Beachtung der Empfehlungen des IT-Grundschutzhandbuches des BSI4 bei der
Umsetzung der Maßnahmen zur Abwehr möglicher Manipulationen und Angriffe.
4
http://www.bsi.de/gshb/deutsch/menue.htm
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 10 von 13
Bonn, 7. Mai 2008
Amtsblatt der Bundesnetzagentur
A für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
746 – Mitteilungen, Qualifizierte elektronische Signatur,
Teil A, Mitteilungen der Bundesnetzagentur – |
8 2008
DokNr. DECLMAN-017-D-TRUST-DSV1.4_v1.0
Der Rechner, auf dem der D-SIGN verifier installiert ist, muss über einen Internetzugang
verfügen. Hier ist sicherzustellen, dass durch geeignete organisatorisch-technische
Maßnahmen jegliche unautorisierte Zugriffe über das Internet unterbunden werden, so dass
z.B. keine Systemdienste oder Systemkomponenten kompromittiert werden können. Dies
kann z.B. mittels einer Firewall erfolgen.
Durch geeignete personelle und organisatorisch-technische Maßnahmen ist sicherzustellen,
dass nicht autorisierte Programme bzw. Programmbestandteile auf den Rechner aufgebracht
werden können.
Weiterhin muss ein Virenscanner sicherstellen, dass sowohl klassische Virenprogramme als
auch Backdoor-Programme erkannt werden und der Anwender bzw. der Systemadministrator
im Falle eines Angriffs über diesen Zustand in Kenntnis gesetzt wird.
Es muss durch geeignete organisatorische Maßnahmen sichergestellt werden, dass alle
Komponenten des Betriebssystems und der sonstig installierten Softwareprodukte korrekt und
vertrauenswürdig sind.
Es muss durch geeignete personelle, materielle und organisatorische Maßnahmen
sichergestellt werden, dass zu verifizierende Daten nur durch den hierfür berechtigten
Anwender bzw. durch hierfür durch den Anwender berechtigte Applikationen in die Eingangs-
und Ausgangsverzeichnisse des D-SIGN verifier geschrieben bzw. aus den Eingangs- und
Ausgangsverzeichnissen des D-SIGN verifier gelesen und/ oder gelöscht werden können.
Über organisatorisch-technische Maßnahmen (z.B. Zugangskontrolle, abgeschlossener
Raum) muss sichergestellt werden, dass nur autorisiertes Personal physischen Zugang zum
Computer, auf dem D-SIGN verifier betrieben wird, erhält.
DECLMAN-017-D-TRUST-DSV1.4_v1.0.rtf Seite 11 von 13
Bonn, 7. Mai 2008
